bash

1: ゆでたてのたまご ★@\(^o^)/ 2014/09/25(木) 11:35:22.83 ID:???0.net

多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大なセキュリティホールが発見された。

このセキュリティホールはBashによる環境変数の評価方法に起因している。ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これによりサーバはさらなる本格的な攻撃に対して脆弱な状態となる。

数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを経由することで、認証なしにリモートから環境変数を入力し、セキュリティホールを悪用できるという。

ルート権限(スーパーユーザー権限)でスクリプトを呼び出すアプリケーションをハッカーに悪用されると、サーバに破壊的な損害を引き起こされる可能性がある。

Bashがシステムシェルとして広く普及していることが、今回の問題を深刻化させる要因となっている。アプリケーションがHTTPやCGIを通じて、ユーザーがデータを挿入できる形でBashシェルコマンドを呼び出すと、そのウェブサーバは攻撃に対して脆弱な状態となる。

Akamai TechnologiesのチーフセキュリティオフィサーであるAndy Ellis氏によれば、ユーザー入力を評価してシェル経由で別のアプリケーションを呼び出すタイプのアプリケーションは、今回発見されたセキュリティホールの影響を受ける可能性があるという。

このセキュリティホールを抜本的に解決するには、脆弱性のあるBashを新しい安全なバージョンに置換する必要がある。米国時間9月24日朝の時点で、Bashの開発元からすべての現行バージョンをアップデートするパッチがリリースされている。

また、DebianとRed Hatはパッケージ化されたパッチを公開している。ディストリビューターからのパッチを待たず、アプリケーションに対する危険な入力を排除したり、シェルを呼び出す古いCGIスクリプトを無効化して新しいスクリプトに置換したり、Bash自体を別のシェルに置換するなどの回避策を実施することも重要だ。

http://japan.cnet.com/news/service/35054245/


スポンサードリンク

23: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:12:49.70 ID:JMuW8spbi.net

き……脆弱性…


3: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:36:38.90 ID:6bSOobBc0.net

Linuxってパッチあてることに関心のない奴多そう


4: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:39:28.65 ID:8RMzXIRE0.net

>>3
逆にバシバシあてる


21: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:08:50.51 ID:1n76YkLq0.net

>>4
その面倒さを知らないまま、いろんな環境入れまくって自慢する奴がいるのも現実


9: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:48:41.02 ID:3BnlHN0V0.net

別にbashにセキュリティホールがあろうとなかろうとユーザー入力をそのまま評価してシェルに渡すようなWebアプリケーションは危険だよな


44: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:41:43.90 ID:Yo+GPTVT0.net

>>9
ユーザーが入力した物をそのまま渡してなんぼの物もあるので
アプリケーション側の設計を見直すだけではどうにもならない場合がある。
今回のは「シェルのコマンド用のエスケープ」を施しても抜け穴があるし。


10: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:53:58.69 ID:6g4DXlJJ0.net

今日のアップデートがそれだったか。
Linuxは速いね。


15: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:58:01.32 ID:KTLl/3fi0.net

相変わらずlinuxはバグだらけだな
みんなWindowsサーバーに逃げちゃったよ


18: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:03:42.24 ID:ThOy9ln40.net

>>15
Windowsはバグ連発どころか
つい最近、Windows UpdateでOS起動できなくなるウイルスばら撒いたやんけw


17: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:03:17.80 ID:ihi4EFk+0.net

なんだかんだでLinuxはWindowsより致命的なバグが多い


19: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:07:06.01 ID:g5RvG8AW0.net

>>17
致命的といえば、何かあるとすぐ延々と再起動を繰り返させ
起動すらも失敗させるWindowsのほうだろ


20: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:07:38.98 ID:6bSOobBc0.net

英語も出来ないくせにLinuxとか噴飯モノだけどな


22: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:11:33.30 ID:LYL4mcxYO.net

LinuxじゃなくてBashの脆弱性だろ。
俺はNetBSDだがBash使ってる。


29: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:18:57.87 ID:pKoWYwnI0.net

馬鹿ドザがシャシャリ出てくる
自分の脆弱性をどうにかしろクズ


53: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:55:06.35 ID:TTZcO4Oo0.net

これMacもやばそうだな
Linux使ってる奴は意識高そうだが、マカーなんて今やアホばかりだろ?
どうすんだこれ


54: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:57:07.23 ID:tDcfhAmU0.net

>>53
なぜかWindows叩きを始めます


56: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 14:11:49.09 ID:EYOJ/Mfc0.net

macの10.6.8の俺はどうすればいいんだ…(´・ω・`)


62: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:31:18.23 ID:GSOzNRIN0.net

Appleおわた・・・


99: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 19:03:26.61 ID:1BRWakJW0.net

RedHat系は先週にはパッチ当てver(穴残ってるが)リリース済みだったしな
多分一番遅いのはMacOSだろ


25: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:15:03.60 ID:RngjZc410.net

バッチこいよー!


14: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:57:35.70 ID:PuuGmO3J0.net

そこでkshですよ。


8: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:45:57.33 ID:0qPfnbts0.net

tcshにかぎる


49: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:59:50.75 ID:SzS3QycP0.net

ナウなヤングはzsh
俺はずっとtcsh


33: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:20:51.74 ID:GyX5lsD30.net

zsh 最 強 伝 説


7: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:45:23.57 ID:DroyLTmX0.net

zsh使ってる奴はただ周りが使ってるから俺も使ってるってだけど


28: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:18:08.97 ID:8TVVBEZn0.net

これyumのアップデートで大丈夫?


30: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:19:13.77 ID:1n76YkLq0.net

>>28
もう新しいのは来てる
もう少ししたらさらにちゃんとしたのが来るはず


32: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:19:47.93 ID:8TVVBEZn0.net

>>30
サンキュ


46: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:51:58.54 ID:X8x5ImE00.net

今、
sudo apt-get update
sudo apt-get upgrade
したら、bashが更新された。

個人PCならお気楽に更新できるけど、サーバーとかだと色々面倒臭いかもな。


65: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:44:32.28 ID:RSESlayz0.net

>>46
重大な部分だものな。場合によっては自作シェルが動かなくなるかもしれんし。
とはいえ既知のセキュリティホールを放置もできん。


47: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:55:31.10 ID:X8x5ImE00.net

インターネットにつながってないなら気にしなくていいし、
つながってるならapt-getで簡単に更新できる。
むしろ、サーバーとかだと、更新後の検証がメンドイ。
もっとも、そこは本来、ウィンドウズでも同じはずだけどな。


51: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:31:49.97 ID:RUFsvvJS0.net

とりあえず5台のサーバを yum update して回った。再起動とかは特にいらないよね。


52: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:39:23.98 ID:Yo+GPTVT0.net

>>51
Red Hat系なら
ttps://access.redhat.com/solutions/1207723
再起動できるなら再起動するのが安全で、できないなら/sbin/ldconfigを実行するのかな。


48: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:58:54.54 ID:Mrcuo7RC0.net

外からbash使えるようにしているcgiとかは狙われるね


63: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:36:17.11 ID:U6E2NkBy0.net

cgiの中からシェルコマンド呼ぶような作り? なんて相当なやっつけ仕事してたら、そりゃ色々問題でるわな。


66: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:45:47.45 ID:iQ0Z5P2g0.net

脆弱性なんて必死になって探さない限り見つからない

だが必死になって探してるヤツが大勢いるというのもまた事実


74: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:20:40.90 ID:U6E2NkBy0.net

cgiの中で外部コマンド呼んでるだけでも該当みたいだな。
ディスク容量を示すレンタル鯖のcgiとか、そういう作りにしがちかも
アップローダーやWebメールなんかもあるかもな。

ググれば手口の解説でてくんな 手口が公のもとになった今、凄腕ハッカーでなくてもこれ、やりたい放題やん
串かますとか、チマチマした事しないで、ログでIPバレない様にログごと消しちゃえばええやんw rm -rf / とか最後に入れて。

これ結構デカい穴だぞ


89: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:04:24.58 ID:U6E2NkByI.net

これは該当するサーバーかなりあるし、なによりも手口が簡単。基本的な知識があれば誰でも出来る。愕くほど簡単


78: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:31:21.38 ID:aFXY9cX40.net

ちょ、User-Agentとかちょっとヘッダーいじってリクエストするだけで
ヤバイコマンドが実行し放題なの?マジかよ
rm -rf /とかされまくりじゃないの?


79: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:33:38.07 ID:ba6MtFSG0.net

>>78
web server用のユーザのログインシェルをdashとかにしてない奴が悪い。


75: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:27:01.10 ID:ZEhMm5bU0.net

うお
随分枯れたシェルがやらかしたな


73: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:18:31.73 ID:HJq4iEU40.net

勘弁してくれ
鯖缶の俺にはきつすぎずニュース
レッドハット、セントなんて何台あるんだよ
200以上は固い


80: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:38:05.95 ID:bSfIo6pn0.net

実際、webサーバー以外では問題にはならんでしょ。
すぐに対応が必要な人は可哀想だが。


83: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:43:49.63 ID:eb5/jl4p0.net

>>80
シェルログイン許可してるサービス(有料or学術系)なんかは
シェルサービス一時停止かねー


84: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:49:19.09 ID:ba6MtFSG0.net

>>83
いやこれは上位アクセス権限を奪われる穴じゃないのでそういう処置は必要ない。
アクセス権限通りのスクリプトしか実行できない。


87: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:50:39.69 ID:eb5/jl4p0.net

>>84
あーなるほど
sudo的振る舞いするcgi系があかんのか


92: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:38:01.07 ID:3AUu4Hse0.net

某都銀なんかcsh使用禁止にしてbashに統一したばかりだ。
どうづんだろw。


93: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:38:42.00 ID:eb5/jl4p0.net

大体何年放置してきたんだよ、と。

気づいてた連中は情報抜き放題ってわけだよなぁ。


94: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:40:43.65 ID:U6E2NkByI.net

世の中に恨みがあるIT土方崩れは、今こそ復讐の時だなw

関連:BASHの脆弱性でCGIスクリプトにアレさせてみました


元スレ:http://daily.2ch.sc/test/read.cgi/newsplus/1411612522/